L’IFACI fête cette année ses 60 ans et, à cette occasion, nous avons demandé à ses adhérents de nous confiL’IFACI fête cette année ses 60 ans et, à cette occasion, nous avons demandé à ses adhérents de nous confier leur perception sur l’évolution des métiers du risque et ce que l’association avait pu leur apporter au fil de leur carrière. Aujourd’hui, François Michaud, Directeur de l’audit interne du groupe Le Conservateur, qui a notamment participé récemment aux travaux du Guide 3.0 sur la cybersécurité.

Pouvez-vous nous parler de votre parcours et de votre rôle actuel ?

François Michaud : Je suis diplômé d’HEC et j’ai commencé ma carrière chez PwC, qui n’était d’ailleurs pas encore PwC, mais le BEFEC, Bureau d’études financières et de contrôle comptable. Il s’agissait du cabinet de commissariat aux comptes qui détenait le plus grand nombre de mandats de sociétés du CAC 40. J’y ai passé 7 ans et j’ai assisté à la fusion avec Price Waterhouse, qui nous apportait sa signature internationale. Je suis devenu manager et j’ai passé l’expertise comptable, puis j’ai décidé de basculer du côté opérationnel en intégrant Legal & General France, la filiale française du groupe britannique du même nom. Je suis resté 14 ans dans cet établissement financier en tant que directeur comptable d’abord puis directeur administratif et financier. En 2009, j’ai repris la direction technique et financière du cabinet de courtage Colonna, spécialisé en prévoyance collective et en frais de santé, où nous avons en particulier été amenés à gérer la branche collective HCR (Hôtels, cafés, restaurants), ce qui a fait doubler le nombre de bénéficiaires. C’était un challenge vraiment intéressant ! En 2014, j’ai rejoint le Conservateur¹, un groupe financier fondé en 1844 (nous avons fêté nos 180 ans l’année dernière) et qui gère aujourd’hui 11,1 Mds d’euros d’actifs, dont notamment la Tontine², notre solution d’épargne « signature ». 

J’ai été appelé pour prendre la direction de l’audit interne, dans le cadre de l’arrivée de la nouvelle réglementation Solvabilité 2 pour les compagnies d’assurance, qui exigeait que la direction de l’audit soit distincte de la direction du contrôle interne et de la conformité. Nous sommes deux auditeurs actuellement, avec un recrutement en cours d’une troisième personne.

« Le défi n° 1 du métier d’auditeur interne, c’est toujours la réglementation »

Que diriez-vous des grands défis de votre métier d’auditeur interne aujourd’hui ?

F.M. : Le défi n° 1 du métier d’auditeur interne, c’est toujours la réglementation, qui a tendance à se développer de façon exponentielle dans tous les domaines. Il y a eu d’abord Solvabilité 2 qui a posé des bases plus économiques de la solvabilité. Ensuite, il y a eu la loi Eckert sur les fonds en déshérence, la lutte anti-blanchiment qui est de plus en plus précise, la directive sur la distribution en assurance, le RGPD, SFDR, CSRD, DORA… Et tous ces acronymes qui cachent des réglementations complexes, dont la plupart sont censées, directement ou indirectement, protéger les épargnants. 

Je pense que le deuxième enjeu concerne l’évolution de la société, avec notamment l’apparition du digital, qui est maintenant bien ancré. Et puis, évidemment, l’intelligence artificielle, sans bien trop savoir toujours de quoi on parle. Il va falloir savoir l’intégrer dans les techniques d’audit, dans les outils de l’auditeur. Mais pas pour être à la mode, ce n’est pas un but en soi. Il faudra d’abord déterminer ce qui peut être vraiment utile pour les missions, où cela peut l’être, quand et comment.

Et bien sûr, l’un des enjeux majeurs, c’est la cybersécurité. J’ai d’ailleurs participé à la rédaction du guide 2.0 et dernièrement du guide 3.0 de l’IFACI avec Guy-Philippe Goldstein. C’est un défi de tous les instants et un sujet d’audit permanent.

La lutte anti-blanchiment dans le cadre de l’assurance-vie que j’ai évoquée plus haut est aussi un enjeu majeur, puisque cela fait partie des audits qui sont récurrents : tous les ans, nous faisons un audit de lutte anti-blanchiment et de sécurité informatique. 

Enfin, un dernier enjeu a trait au recrutement. Il faut arriver à proposer quelque chose d’intéressant. Nous avons l’avantage d’être une petite structure, ce qui permet d’avoir une vision transversale de toute l’entreprise, d’auditer tous les domaines, alors que dans les grands groupes, l’audit va plutôt être segmenté en silos. 

Comment votre profession a-t-elle évolué ces dernières années ?

F.M. : Lorsque je suis arrivé dans le groupe il y a 10 ans, nous travaillions encore sur des dossiers papiers. Nous sommes très vite passés à des dossiers numériques, du moins sur Excel et Word, PowerPoint pour les dossiers d’audit et les rapports, avec le logiciel Efront pour le suivi des recommandations. 

Dans les sujets d’audit aussi, le digital et l’analyse de données sont de plus en plus présents. Et, comme je le disais, certaines missions doivent être de plus en plus récurrentes : par exemple, de nombreuses réglementations nous imposent de publier certaines informations sur notre site internet. Nous devons donc auditer le site chaque année car nous ne pouvons plus nous permettre de faire un audit tous les cinq ans et découvrir que, depuis quatre ans, nous publions des informations qui sont erronées ou qui ne sont pas à jour.

Plus généralement, ce qui a changé, c’est que nous sommes confrontés à de plus en plus de technicité dans tous les secteurs. Donc, nous avons davantage recours à des experts lorsque nous n’avons pas les compétences internes. Je pense à l’informatique, bien sûr, mais aussi à la finance, par exemple, où il y a de plus en plus de technicité requise, alors que nous pouvions encore faire nous-mêmes l’audit de la gestion financière il y a quelques années. 

Quelles sont les compétences indispensables pour réussir dans votre domaine ?

F.M. : La compétence clé, c’est la polyvalence, l’adaptabilité. Pour schématiser, c’est la capacité à apprendre les « langues étrangères » au sens large, c’est-à-dire pouvoir échanger aussi bien avec un informaticien qui raisonne en 0 et 1, qu’avec un comptable qui parle en débit-crédit ou un actuaire qui raisonne en formules mathématiques… C’est savoir s’adapter à son interlocuteur, à ses enjeux, à ses préoccupations.

Il faut aussi être capable d’écouter, d’être diplomate, aussi bien avec les audités qu’avec le management, voire avec les autorités de tutelle. Et ce aussi bien à l’oral qu’à l’écrit.
Une troisième qualité importante, il me semble, est le bon sens, l’aspect pragmatique. Parce qu’en termes de réglementation, il y a des textes qui sont très théoriques et il n’est pas toujours évident de les mettre en œuvre de façon efficace et sincère. Souvent, la réglementation impose des freins à l’avancée de l’entreprise. Et le top management a en général une certaine aversion pour les freins, mais est aussi extrêmement soucieux de respecter la conformité réglementaire. Il faut donc savoir faire la part des choses, ne pas être plus royaliste que le roi, mais ne pas être laxiste non plus. Il ne faut pas oublier que notre premier rôle est de rassurer le top management et le Conseil, en apportant une assurance raisonnable.

« C’est important de pouvoir échanger aussi bien avec les autres membres qu’avec les animateurs de l’IFACI »

En quoi l’IFACI vous apporte-t-il un soutien concret ?

F.M. : Au départ, nous étions simplement membres de l’IFACI pour accéder aux informations diffusées. C’est Hélène Auboyneau, Responsable du club IFACI, du développement et des services Premium, qui m’a appelé en me demandant si nous pouvions nous rencontrer, ce qui nous a permis d’exprimer nos besoins, nos attentes. Et puis Workplace a été mis en place et nous avons participé tout de suite. C’est important de pouvoir échanger aussi bien avec les autres membres qu’avec les animateurs de l’IFACI, notamment lors des réunions mensuelles avec, chaque mois, un thème traité sous un angle différent.

Les webinaires nous apportent également beaucoup en développant des sujets souvent plus pointus, ou par l’intervention de partenaires qui proposent un logiciel sur un thème donné.

Je me suis également un peu servi de Gaïa³, mais encore trop peu. Et puis, il y a bien sûr la conférence annuelle de l’IFACI à laquelle j’aime participer en présentiel, ce qui est une très bonne occasion pour échanger avec d’autres auditeurs. Mon seul regret est que les petites structures comme la nôtre ne soient pas davantage sollicitées pour s’exprimer, même si j’ai tout de même eu l’occasion de prendre la parole à plusieurs reprises.

Comment décririez-vous l’impact et la valeur ajoutée de votre métier d’auditeur interne ?

F.M. : La valeur ajoutée est d’abord dans le fait de rassurer les instances dirigeantes, quand tout va bien, et de les alerter à temps dans le cas contraire. Parfois l’impact est à contretemps. Plusieurs fois, heureusement très rares, il m’est arrivé de faire des recommandations qui ont été discutées, voire rejetées, puis qu’il y ait, pas forcément très longtemps après d’ailleurs, des faits qui ont prouvé que l’audit avait raison. On nous dit parfois que ce risque que l’on pointe ne se réalisera jamais, et finalement, ça arrive. Ou bien que cette amélioration du processus n’est pas possible, mais après quelque temps, elle finit par être mise en oeuvre sans que l’on se souvienne d’où vient l’idée. C’est notre capacité d’anticipation. Notre capacité à proposer des choses un peu nouvelles ou une façon de travailler un peu différente permet de faire avancer les choses. Parce que les audités sont souvent « le nez dans le guidon » et n’ont pas le temps de relever la tête pour voir s’ils prennent la bonne route.

Donc, nous les aidons à réfléchir. J’ai l’habitude de dire que le rôle de l’auditeur est de poser des questions bêtes pour faire réfléchir les audités sur leur métier et leur façon de mieux l’exercer, de faire mieux.

« Pour moi, l’audit est plutôt dans le déroulement du processus que dans l’analyse des données »

Quels sont les défis ou transformations que vous anticipez dans les prochaines années ?

F.M. : Nous avons déjà évoqué la spécialisation, et l’intelligence artificielle pourra peut-être répondre à ce défi. On parle aussi beaucoup de données, d’audit total qui utilise l’intégralité des données, mais pour moi, c’est plutôt une question de contrôle interne et donc la possibilité, en permanence, quotidiennement, de balayer l’ensemble des données et de pouvoir constater les anomalies qui en ressortent. 

Pour moi, l’audit est plutôt dans le déroulement du processus que dans l’analyse des données. Nous serons plus concernés par l’audit de l’organisation que par le contrôle des données lui-même.

Un conseil à des jeunes auditeurs ? 

F.M. : Soyez curieux, posez des questions, même celles qui vous paraissent bêtes : si on se moque de vous, ce n’est pas grave. Vous apprendrez toujours.

Un petit message pour les 60 ans de l’IFACI ?

F.M. : 60 ans, c’est la fin de l’enfance. On aborde l’adolescence. L’IFACI a encore de belles années devant lui et je lui souhaite de fêter, tout comme Le Conservateur, ses 180 ans un jour. Même si je ne serai peut-être pas là cette fois pour participer.

¹ https://www.conservateur.fr/

² La tontine, créée par Lorenzo Tonti sous le règne de Louis XIV, est une opération d’épargne de long terme adaptée à une stratégie de diversification patrimoniale, qui réunit des épargnants décidant d’investir des fonds en commun avec un horizon de placement déterminé, entre 8 et 25 ans. Chaque année, une nouvelle association tontinière est créée pour une durée de 25 ans, à laquelle les épargnants peuvent adhérer jusqu’à 8 années avant l’échéance. À l’issue de celle-ci, les sommes qui ont été investies, augmentées des fruits de la gestion financière le cas échéant, sont entièrement réparties entre les bénéficiaires des adhésions dont les assurés sont en vie au terme. 

³ https://www.ifaci.com/2024/01/22/gaia-le-chatbot-dintelligence-artificielle-des-metiers-du-risque/